Ir para conteúdo
  • Cadastre-se

Cuidado! Dhanush Shell

Fernando Rafs

Por Fernando Rafs
em Segurança

 Compartilhar

Posts Recomendados

Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado (editado)

Regras eu conheço apenas da Atomic, mas nunca usei a versão paga devido ao custo.

 

Posta o link desse ai que tu comprou, se for bom e barato acredito ser uma ótima opção.

 

Chuva perdão, eu escrevi 'TIMECORP' mas seria mesmo 'ATOMICORP'

 

Não sei de onde tirei 'TIME' :D

 

Eu adquiri as pagas, já que não disponibilizam mais gratuitamente. Preciso agora analizar quais regras utilizar, se alguém utiliza e puder compartilhar quais as mais indicadas para um ambiente compartilhado.

 

Sobre o Shell Dhanush, o Antimalware da Pyxsoft realmente o bloqueia por upload HTTP/Script, agora se o invasor tiver acesso ao cPanel/FTP não, neste último caso contatei o Pablo para ver a possibilidade de implantar algo. Já que podemos receber um pedido 'FRAUDE', onde o invasor teria acesso ao cPanel/FTP.

Editado por Guto
Link para o comentário
Compartilhar em outros sites
Rhuan

Rhuan

Postado
Postado

Me lembro que uma vez fui enviar um arquivo shell para um servidor e o clamav barrou o arquivo, então criei um arquivo pelo gerenciador do cPanel e colei o conteúdo lá, já li também dizendo que arquivos encodados podem passar pelo clamav...

 

Agora esse Anti Malware não sei como funciona.

Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Me lembro que uma vez fui enviar um arquivo shell para um servidor e o clamav barrou o arquivo, então criei um arquivo pelo gerenciador do cPanel e colei o conteúdo lá, já li também dizendo que arquivos encodados podem passar pelo clamav...

 

Agora esse Anti Malware não sei como funciona.

 

Na verdade tem como enganar, inclusive o antimalware. Se você pegar um Shell que é bloqueado automaticamente, e jogá-lo dentro de uma pasta e compactar, depois pegar este arquivo zip e jogar mais uma vez em outra pasta e também compactar, você consegue fazer o upload. Já testei assim e funcionou, é por isso que nada é 100% seguro, infelizmente.

 

Inclusive boa parte do Shell que enviaram estava encodado com base64, e o antimalware mesmo assim identificou, já que ele também tem um decoder, que também pode ser utilizado pelo admin diretamente pelo WHM, para se certificar que não se trata de um falso positivo, e em alguns casos este decoder já me ajudou bastante.

Link para o comentário
Compartilhar em outros sites
Leo Amarante

Leo Amarante

Postado
Postado

Não foi brute force, e sim o bloqueio por brute force ao Wordpress está ativa.

 

Aproveitando, Leo caso tenha instalado o plugin também, você notou que após o plugin possuir esta opção de bloqueio por Brute Force, a quantidade de IPs do exterior que são bloqueados, por tentativa de brute force ao Wordpress, fiquei impressionado com isto.

 

É uma camada de segurança muito boa, inserida pelo desenvolvedor.

É inacreditável!

 

Para ter uma ideia, um cliente meu sofreu 300 ataques em menos de uma hora e todos com ip's do exterior, da china à jamaica... e o plugin bloqueou todos.

Logo que foi atualizado e passou a contar com essa opção registrava uma média de 300 ataques por dia em vários sites, logo após alguns dias e bloqueios caiu para menos de 30, ou seja o plugin fez um ótimo trabalho que até os meliantes diminuiram.

 

Agradeço por ter me dado o feedback sobre esse plugin, sem dúvida é uma ótima ferramenta e vale cada centavo pago.

Link para o comentário
Compartilhar em outros sites
Leo Amarante

Leo Amarante

Postado
Postado

Chuva perdão, eu escrevi 'TIMECORP' mas seria mesmo 'ATOMICORP'

 

Não sei de onde tirei 'TIME' :D

 

Eu adquiri as pagas, já que não disponibilizam mais gratuitamente. Preciso agora analizar quais regras utilizar, se alguém utiliza e puder compartilhar quais as mais indicadas para um ambiente compartilhado.

 

Sobre o Shell Dhanush, o Antimalware da Pyxsoft realmente o bloqueia por upload HTTP/Script, agora se o invasor tiver acesso ao cPanel/FTP não, neste último caso contatei o Pablo para ver a possibilidade de implantar algo. Já que podemos receber um pedido 'FRAUDE', onde o invasor teria acesso ao cPanel/FTP.

O Pablo me informou que em breve poderia implementar isso, mas tem a questão do load que o escaneamento poderia gerar.

Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Como consigo contato com esse Pablo, to com algumas dúvidas e queria tirar com ele. E outra o criador do sistema é brasileiro?

 

Utilize o formulário de contato disponível no site e aguarde um retorno, pode ser ou não ele mesmo que retorne para você.

 

Não, o desenvolvedor é extrangeiro, a lingua nativa do desenvolvedor é o Espanhol.

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept